Привет, это команда «Шард». За последние две недели крипторынок пережил несколько крупных взломов на общую сумму более $17 млн. Уязвимости в смарт-контрактах, скомпрометированные ключи и поддельные токены — злоумышленники использовали разные инструменты, но цель во всех случаях была одной: получить доступ к чужим активам. Рассказываем о каждом инциденте по порядку.
Взлом Axelar через Secret Network — $4,67 млн
10 июня кроссчейн-протокол Axelar столкнулся с крупным инцидентом. Уязвимость находилась не в самом протоколе, а в модифицированном смарт-контракте, который обрабатывал переводы через Secret Network. В нем оказались отключены проверки, подтверждающие подлинность источника токенов.
Злоумышленник создал собственную блокчейн-сеть, подключил ее к уязвимому контракту и начал отправлять поддельные сообщения о переводах. Система принимала их за настоящие депозиты и выпускала новые токены, без реального обеспечения. Похищенные активы прошли через Cosmos, Osmosis и мосты Axelar и Circle, после чего были конвертированы примерно в 2 350 ETH. Часть средств направлена на KuCoin, ChangeNOW и HitBTC.
- Адрес злоумышленника: 0x6c2eab82ba2897a6e99fb6af018020da15123976
Компрометация кошелька — $1,65 млн
15 июня в сети ETH был зафиксирован нестандартный инцидент: владелец кошелька потерял более $1,65 млн. Примечательно, что кошелек существовал в блокчейне менее двух часов до момента атаки — за это время на адрес поступили значительные средства, которые злоумышленник полностью вывел через серию транзакций. Предположительно, атака стала возможной благодаря выданному разрешению на управление активами через механизм approve.
- Адреса злоумышленника: 0x6fd47fcfbe734fd67718cfb60b47fb07cf5472e0, 0xc0eae515554d579460fedbc6401d5fcf0e7ce5bc
Второй взлом в экосистеме Aztec — $2,15 млн
17 июня злоумышленник атаковал устаревший контракт RollupProcessor в экосистеме Aztec. Уязвимость заключалась в механизме проверки данных: контракт верифицировал одну часть информации, тогда как другая часть, используемая внутри системы для подтверждения операции, оставалась без проверки. Это позволило атакующему подменить параметры таким образом, что система сочла вывод средств законным и автоматически перевела ему 1 158 ETH, 150 000 DAI и 0,47 renBTC.
Это уже второй серьезный инцидент в экосистеме Aztec за последний месяц. Оба взлома затронули разные контракты и были вызваны разными ошибками, однако объединяет их одно: проблемы обнаружены в устаревших компонентах инфраструктуры. Часть средств направлена через Tornado Cash.
- Адреса злоумышленника: 0x6952d9246e9afe8b887b2877225163436f78e97f, 0x69923e5264b6e1634ee673f34fc6350cb7a05f72
Манипуляция пулом на PancakeSwap — $1,11 млн
20 июня в сети BSC был атакован пул ликвидности PancakeSwap V2 с торговой парой OLPC/LABUBU. Злоумышленник воспользовался ошибкой в механизме учета балансов: после серии манипуляций с токенами часть из них была сожжена, что резко изменило фактический баланс пула. Однако внутренние данные о резервах не обновились своевременно.
Используя это расхождение, атакующий вывел токены LABUBU по завышенной стоимости, обменял их на USDT и перевел средства из сети BSC в ETH. Далее средства были направлены через Tornado Cash.
- Адрес злоумышленника: 0x18d6c39ae9e537f948aa2212d44d8c23944fc188
Взлом MEV-бота JaredFromSubway — $7,5 млн
В тот же день жертвой необычной атаки стал известный MEV-бот JaredFromSubway. Злоумышленники не стали искать уязвимости в коде — они решили обмануть сам алгоритм. Для этого были созданы поддельные токены и фальшивые пулы ликвидности, имитирующие выгодные сделки.
Бот обнаружил «прибыльные» возможности и начал взаимодействовать с контрактами атакующих, автоматически выдавая разрешения на использование своих активов. Когда разрешений накопилось достаточно, злоумышленники воспользовались ими и вывели более 1 400 ETH, почти $3 млн в USDC и свыше $2 млн в USDT. Часть средств переведена через Tornado Cash.
- Адрес злоумышленника: 0x3e37f4a10d771ba9de44b6d301410b1bedea65d0
Утечка ключа в репозитории Taiko — $1,7 млн
22 июня произошел, пожалуй, самый показательный инцидент недели. Злоумышленник вывел около $1,7 млн из мостового хранилища сети Taiko (и для этого ему не понадобилось взламывать никакие контракты).
В публичном GitHub-репозитории проекта оказался закрытый криптографический ключ, дававший доступ к механизму верификации доверенных узлов сети. Получив его, атакующий создал собственный вредоносный узел, зарегистрировал его как доверенный и начал отправлять данные, которые система принимала как легитимные. В результате из мостового хранилища было выведено около 650 000 USDC и 130 ETH.
- Адрес злоумышленника: 0x7506dea0c38ca0b55364b22424374c5a1ae1b76a
Итоги
Точкой входа может стать что угодно, от ошибки в логике контракта до закрытого ключа в публичном репозитории. Именно поэтому безопасность протокола не сводится только к аудиту кода. Она требует сквозного контроля над всей инфраструктурой — ключами, правами доступа, устаревшими компонентами и внутренними процессами команды.
Узнавайте больше о мире криптовалют в нашем блоге.
Больше о безопасности, актуальных схемах криптомошенников и защите цифровых активов — в нашем Телеграм-канале.